LiteLLM Python ጥቅል በአቅርቦት ሰንሰለት ጥቃት ተበላሽቷል።
አስተያየቶች
Mewayz Team
Editorial Team
LiteLLM Python ጥቅል ተጠልፏል፡ የአቅርቦት ሰንሰለት ተጋላጭነቶችን አስታዋሽ
የዘመናዊው የሶፍትዌር ልማት ሞተር የሆነው ክፍት ምንጭ ምህዳር በዚህ ሳምንት በተራቀቀ የአቅርቦት ሰንሰለት ጥቃት ተመታ። ታዋቂው የ Python ጥቅልLiteLLMከOpenAI፣ Anthropic እና ሌሎች ከ100 በላይ ለሆኑ ትላልቅ የቋንቋ ሞዴሎች (LLMs) የተዋሃደ በይነገጽ የሚያቀርብ ቤተ-መጽሐፍት ተንኮል አዘል ኮድ ይዞ ተገኝቷል። አስጊ ተዋናዮች የተጠለፈውን ስሪት (0.1.815) ወደ Python Package Index (PyPI) ሲሰቅሉ የተመለከተው ይህ ክስተት በገንቢው ማህበረሰብ በኩል ሞገዶችን ልኳል፣ ይህም በሶፍትዌር ጥገኞቻችን ላይ የምንሰጠውን ደካማ እምነት አጉልቶ ያሳያል። AI መሳሪያዎችን ለሚጠቀም ለማንኛውም የንግድ ሥራ ይህ የገንቢ ራስ ምታት ብቻ አይደለም - ለሥራ ደህንነት እና የውሂብ ታማኝነት ቀጥተኛ ስጋት ነው።ጥቃቱ እንዴት እንደተፈጠረ፡ የመተማመን ጥሰት
ጥቃቱ የጀመረው የ LiteLLM አስተናጋጅ የግል መለያን በመጣስ ነው። ይህን መዳረሻ በመጠቀም፣ መጥፎ ተዋናዮች አዲስ፣ ተንኮል-አዘል የሆነ የጥቅል እትም አሳትመዋል። የሐሰት ኮድ የተቀረጸው ስውር እና ኢላማ እንዲሆን ነው። እንደ ኤፒአይ ቁልፎች፣ የውሂብ ጎታ ምስክርነቶች እና የውስጥ ውቅረት ሚስጥሮች - ከተጫነባቸው ስርዓቶች ውስጥ ሚስጥራዊነት ያላቸው የአካባቢ ተለዋዋጮችን የማውጣት ዘዴን አካቷል። በወሳኝ ሁኔታ፣ ተንኮል-አዘል ኮድ የተወሰኑ የዊንዶውስ ባልሆኑ ማሽኖች ላይ ብቻ እንዲሰራ የተነደፈ ሲሆን በተከላው ደረጃ ላይ ብቻ ነው፣ ይህም ብዙውን ጊዜ በዊንዶውስ አከባቢዎች ላይ በሚሰሩ አውቶሜትድ የትንታኔ ማጠሪያ ሳጥኖች ውስጥ የመጀመሪያ መለየትን ሊያመልጥ ይችላል።
"ይህ ክስተት በሶፍትዌር አቅርቦት ሰንሰለት ውስጥ ያለውን ወሳኝ ድክመት አጉልቶ ያሳያል፡ አንድ ነጠላ የተጠጋጋ አካውንት በሺዎች በሚቆጠሩ ኩባንያዎች የሚጠቀሙትን መሳሪያ ሊመርዝ ይችላል፣ ይህም ወደ ሰፊ የመረጃ ፍሰት እና የስርአት መጓደል ያስከትላል።"
በ AI የሚነዱ ንግዶች ሰፋ ያለ እንድምታ
ከስራ ፍሰታቸው ጋር ቆራጥ የሆነ AIን ለሚያዋህዱ ኩባንያዎች ይህ ጥቃት አሳሳቢ ጉዳይ ጥናት ነው። LiteLLM በ AI የተጎለበተ አፕሊኬሽኖችን ለሚገነቡ ገንቢዎች በኮዳቸው እና በተለያዩ የኤል ኤም ኤል አቅራቢዎች መካከል እንደ ድልድይ ሆኖ የሚሰራ። እዚህ ላይ መጣስ ማለት የተሰረቀ የኤፒአይ ቁልፍ ብቻ አይደለም፤ ወደ፡ ሊያመራ ይችላል።- ግዙፍ የፋይናንሺያል ተጋላጭነት፡ የተሰረቁ የኤልኤልኤም ኤ ፒ አይ ቁልፎች በጣም ብዙ ሂሳቦችን ለማስኬድ ወይም ሌሎች ተንኮል አዘል አገልግሎቶችን ለማጎልበት ጥቅም ላይ ሊውሉ ይችላሉ። የ
- የባለቤትነት ውሂብ መጥፋት፡ የተጋነኑ የአካባቢ ተለዋዋጮች ብዙውን ጊዜ የደንበኞችን ውሂብ እና የአእምሮአዊ ንብረትን በማጋለጥ የውስጣዊ የውሂብ ጎታ እና አገልግሎቶች ሚስጥሮችን ይይዛሉ። የ
- ክወና ረብሻ፡ ከእንደዚህ አይነት ክስተት መለየት፣ ማስወገድ እና ማገገም ጉልህ የሆነ የገንቢ ጊዜ ይፈልጋል እና የባህሪ ልማትን ያቆማል።
- የእምነት መሸርሸር፡ ደንበኞች እና ተጠቃሚዎች የኩባንያው የቴክኖሎጂ ቁልል ለአደጋ የተጋለጠ እንደሆነ ከተገነዘቡ በራስ መተማመን ያጣሉ
ለዚህም ነው ደህንነቱ የተጠበቀ፣ የተቀናጀ የአሠራር መሠረት በጣም አስፈላጊ የሆነው። እንደMewayz ያሉ መድረኮች ከደህንነት ጋር እንደ ዋና መርህ የተገነቡ ናቸው፣ ይህም የንግድ ሎጂክ፣ ውሂብ እና ውህደቶች በአንድነት የሚተዳደሩበት ቁጥጥር የሚደረግበት አካባቢ ይሰጣል፣ ይህም ለዋና ኦፕሬሽኖች ተጋላጭ ውጫዊ ጥገኞችን አንድ ላይ የማጣመርን አስፈላጊነት ይቀንሳል።
የተማርናቸው ትምህርቶች እና የበለጠ የሚቋቋም ቁልል መገንባት
ተንኮል አዘል እሽጉ በፍጥነት ተለይቷል እና ተወግዶ ሳለ፣ ክስተቱ ወሳኝ ትምህርቶችን ትቶ ይሄዳል። በጭፍን መታመን ውጫዊ ፓኬጆችን, ከታዋቂ ጠባቂዎች እንኳን, ትልቅ አደጋ ነው. ድርጅቶች የሚከተሉትን ጨምሮ ጥብቅ የሶፍትዌር አቅርቦት ሰንሰለት ንጽህናን መከተል አለባቸው፡የጥገኛ ስሪቶችን መሰካት፣ መደበኛ ኦዲት ማድረግ፣ ተጋላጭነቶችን እና ያልተለመዱ ባህሪያትን ለመፈተሽ መሳሪያዎችን መጠቀም እና ከተጣራ ጥገኞች ጋር የግል የጥቅል ማከማቻዎችን መቅጠር። በተጨማሪም፣ የንግድዎን ሶፍትዌር "የጥቃት ወለል" መቀነስ ቁልፍ ነው። ይህ ወሳኝ ስራዎችን ወደ ደህንነታቸው በተጠበቁ ሞዱል መድረኮች ላይ ማጠናከርን ያካትታል። እንደMewayz ያሉ ሞጁል ቢዝነስ ኦኤስ ኩባንያዎች ሂደታቸውን፣ ውሂባቸውን እና የሶስተኛ ወገን ውህደቶቻቸውን በሚተዳደር አካባቢ ውስጥ እንዲያማክሩ ያስችላቸዋል። ይህ የግለሰብን የፓይዘን ፓኬጆችን እና ስክሪፕቶች ሚስጥራዊነት ያላቸው ተግባራትን በማስተናገድ የደህንነት አስተዳደር የበለጠ ንቁ እና ያነሰ ምላሽ እንዲሰጥ ያደርገዋል።
💡 DID YOU KNOW?
Mewayz replaces 8+ business tools in one platform
CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.
Start Free →በንቃት እና በመዋሃድ ወደ ፊት መሄድ
የ LiteLLM ስምምነት የማንቂያ ጥሪ ነው። AI ጉዲፈቻ እየተፋጠነ ሲሄድ፣ ኃይል የሚሰጡት መሳሪያዎች ይበልጥ ማራኪ ኢላማዎች ይሆናሉ። ደህንነት ከአሁን በኋላ ወደ ደካማ የክፍት ምንጭ ጥገኞች አውታረመረብ ላይ የታሰረ ሀሳብ ሊሆን አይችልም። የመቋቋም አቅም ያላቸው የንግድ ሥራዎች የወደፊት ተግባራዊነት እና ደህንነት በአንድ ላይ በተነደፉ በተቀናጁ ደህንነታቸው የተጠበቀ ስርዓቶች ላይ ነው። ከእንደዚህ አይነት ክስተቶች በመማር እና ለደህንነት እና ለሞዱላር ቁጥጥር ቅድሚያ የሚሰጡ እንደ ሜዋይዝ ያሉ - ንግዶች ለሶፍትዌር አቅርቦት ሰንሰለት ድብቅ አደጋ እራሳቸውን ሳያጋልጡ የ AI እና አውቶሜሽንን ኃይል የሚወስዱ መድረኮችን በመምረጥ።
ብዙ ጊዜ የሚጠየቁ ጥያቄዎች
LiteLLM Python ጥቅል ተጠልፏል፡- የአቅርቦት ሰንሰለት ተጋላጭነቶችን አስታዋሽ
የዘመናዊው የሶፍትዌር ልማት ሞተር የሆነው ክፍት ምንጭ ምህዳር በዚህ ሳምንት በተራቀቀ የአቅርቦት ሰንሰለት ጥቃት ተመታ። ከOpenAI፣ Anthropic እና ሌሎች ከ100 በላይ ለሆኑ ትላልቅ የቋንቋ ሞዴሎች (LLMs) የተዋሃደ በይነገጽ የሚያቀርበው ታዋቂው Python ጥቅል LiteLLM ተንኮል አዘል ኮድ ይዞ ተገኝቷል። አስጊ ተዋናዮች የተጠለፈውን ስሪት (0.1.815) ወደ Python Package Index (PyPI) ሲሰቅሉ የተመለከተው ይህ ክስተት በገንቢው ማህበረሰብ በኩል ሞገዶችን ልኳል፣ ይህም በሶፍትዌር ጥገኞቻችን ላይ የምንሰጠውን ደካማ እምነት አጉልቶ ያሳያል። AI መሳሪያዎችን ለሚጠቀም ለማንኛውም የንግድ ሥራ ይህ የገንቢ ራስ ምታት ብቻ አይደለም - ለሥራ ደህንነት እና የውሂብ ታማኝነት ቀጥተኛ ስጋት ነው።ጥቃቱ እንዴት እንደተፈጠረ፡ የመተማመን ጥሰት
ጥቃቱ የጀመረው የ LiteLLM አስተናጋጅ የግል መለያን በመጣስ ነው። ይህን መዳረሻ በመጠቀም፣ መጥፎ ተዋናዮች አዲስ፣ ተንኮል-አዘል የሆነ የጥቅል እትም አሳትመዋል። የሐሰት ኮድ የተቀረጸው ስውር እና ኢላማ እንዲሆን ነው። እንደ ኤፒአይ ቁልፎች፣ የውሂብ ጎታ ምስክርነቶች እና የውስጥ ውቅረት ሚስጥሮች - ከተጫነባቸው ስርዓቶች ውስጥ ሚስጥራዊነት ያላቸው የአካባቢ ተለዋዋጮችን የማውጣት ዘዴን አካቷል። በወሳኝ ሁኔታ፣ ተንኮል-አዘል ኮድ የተወሰኑ የዊንዶውስ ባልሆኑ ማሽኖች ላይ ብቻ እንዲሰራ የተነደፈ ሲሆን በተከላው ደረጃ ላይ ብቻ ነው፣ ይህም ብዙውን ጊዜ በዊንዶውስ አከባቢዎች ላይ በሚሰሩ አውቶሜትድ የትንታኔ ማጠሪያ ሳጥኖች ውስጥ የመጀመሪያ መለየትን ሊያመልጥ ይችላል።
በ AI የሚነዱ ንግዶች ሰፋ ያለ እንድምታ
ከስራ ፍሰታቸው ጋር ቆራጥ የሆነ AIን ለሚያዋህዱ ኩባንያዎች ይህ ጥቃት አሳሳቢ ጉዳይ ጥናት ነው። LiteLLM በ AI የተጎለበተ አፕሊኬሽኖችን ለሚገነቡ ገንቢዎች በኮዳቸው እና በተለያዩ የኤል ኤም ኤል አቅራቢዎች መካከል እንደ ድልድይ ሆኖ የሚሰራ። እዚህ ላይ መጣስ ማለት የተሰረቀ የኤፒአይ ቁልፍ ብቻ አይደለም፤ ወደ፡ ሊያመራ ይችላል።የተማርናቸው ትምህርቶች እና የበለጠ የሚቋቋም ቁልል መገንባት
ተንኮል አዘል እሽጉ በፍጥነት ተለይቷል እና ተወግዶ ሳለ፣ ክስተቱ ወሳኝ ትምህርቶችን ትቶ ይሄዳል። በጭፍን መታመን ውጫዊ ፓኬጆችን, ከታዋቂ ጠባቂዎች እንኳን, ትልቅ አደጋ ነው. ድርጅቶች የሚከተሉትን ጨምሮ ጥብቅ የሶፍትዌር አቅርቦት ሰንሰለት ንጽህናን መከተል አለባቸው፡በንቃት እና በመዋሃድ ወደ ፊት መሄድ
የ LiteLLM ስምምነት የማንቂያ ጥሪ ነው። AI ጉዲፈቻ እየተፋጠነ ሲሄድ፣ ኃይል የሚሰጡት መሳሪያዎች ይበልጥ ማራኪ ኢላማዎች ይሆናሉ። ደህንነት ከአሁን በኋላ ወደ ደካማ የክፍት ምንጭ ጥገኞች አውታረመረብ ላይ የታሰረ ሀሳብ ሊሆን አይችልም። የመቋቋም አቅም ያላቸው የንግድ ሥራዎች የወደፊት ተግባራዊነት እና ደህንነት በአንድ ላይ በተነደፉ በተቀናጁ ደህንነታቸው የተጠበቀ ስርዓቶች ላይ ነው። ከእንደዚህ አይነት ክስተቶች በመማር እና ለደህንነት እና ለሞዱላር ቁጥጥር ቅድሚያ የሚሰጡ እንደ ሜዋይዝ ያሉ - ንግዶች ለሶፍትዌር አቅርቦት ሰንሰለት ድብቅ አደጋ እራሳቸውን ሳያጋልጡ የ AI እና አውቶሜሽንን ኃይል የሚወስዱ መድረኮችን በመምረጥ።
ንግድዎን በMewayz ያመቻቹ
Mewayz 208 የንግድ ሞጁሎችን ወደ አንድ መድረክ ያመጣል - CRM፣ ደረሰኝ፣ የፕሮጀክት አስተዳደር እና ሌሎችም። የስራ ፍሰታቸውን ቀላል ያደረጉ ከ138,000 በላይ ተጠቃሚዎችን ይቀላቀሉ።
ነጻ ዛሬ ጀምር →We use cookies to improve your experience and analyze site traffic. Cookie Policy